北 해커 조직 김수키, 개발자 플랫폼 ‘깃허브’로 악성코드 유포

​

북한과 연계된 해커 조직 ‘김수키(Kimsuky)’가 오픈소스 개발자 플랫폼인 ‘깃허브(GitHub)’ 저장소(Repository)를 통해 악성코드를 유포한 정황 발견.

김수키는 지난 2012년부터 활동한 북한 정찰총국 산하 해킹 조직임.

​

S2W 탈론이 분석한 결과, 공격자는 악성 링크(LNK) 파일을 통해 깃허브 저장소에서 악성코드를 불러들이는 방식으로 해킹을 시도했다. 우선 ‘NTS_Attach.zip’이라는 이름의 압축 파일을 유포했는데, 이 안에는 전자세금계산서로 위장한 악성 파일이 담겨 있었다.

​

공격자가 깃허브 저장소에서 악성코드와 함께 유포한 미끼 문서. 전자세금계산서 PDF로 위장해 사용자를 속였다. (출처+S2W)

전자세금계산서로 위장한 LNK 파일을 실행하면 파워셸(PowerShell) 명령어를 통해 추가 스크립트가 실행된 뒤 깃허브 저장소로부터 악성코드가 다운로드된다. 파워셸은 윈도(Windows) 운영체제(OS)에 기본 탑재되는 스크립트 명령 도구로 응용 프로그램 관리를 지원한다.

​

특히 보안 솔루션의 차단을 피하기 위해 스크립트를 이메일 첨부파일에 숨겼다. 사용자가 이 파일을 클릭하거나 웹페이지에 접속하면 숨겨진 코드가 파워셸을 호출하고 이어 악성코드가 작동한다.

​

사용자를 속이기 위해 악성코드와 함께 전자세금계산서처럼 보이는 미끼(Decoy) 문서도 다운로드 된다. 공격자는 사용자가 이 문서를 보는 사이 백그라운드에서 추가로 악성코드를 내려받고 내려받아 시스템 침투를 이어갔다.이후 30분마다 실행되는 파일을 통해 △IP 주소 △OS 기본 정보 △컴퓨터 시스템 정보 △실행 중인 프로세스 목록 등을 수집했다.

​

이하생략

​

출처 : 아이티데일리(http://www.itdaily.kr)

北 해커 조직 김수키, 개발자 플랫폼 ‘깃허브’로 악성코드 유포 < 보안 < 뉴스 < 기사본문 - 아이티데일리